上次写的苹果工具条调查篇和清除篇虽然分析了苹果工具条劫持、篡改IE主页为365j.com的工作原理与篡改注册表的位置,不过还是有些遗漏,确实需要不断研究学习才有更多进步。引起我继续的原因是看了此文http://hi.baidu.com/teyqiu/blog/item/e0daa3ccacda681901e92871.html,而此文中关于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下创建的项目我并没去发掘,正象上述链接文章中所说的“通过[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop创建桌面图标NameSpace,注意注册键名为{24B27036-254D-B2BD-220D-55DB257302DD},然后再创建一个clsid 关联到{24B27036-254D-B2BD-220D-55DB257302DD}”,这是创建桌面图标的原因,而不仅仅只是在HKEY_CLASSES_ROOT\CLSID\下创建,当然创建的键名不一定是{24B27036-254D-B2BD-220D-55DB257302DD},是可以变化的。
为了实际看看苹果工具条的情况,我再次安装了苹果工具条,果然在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下创建了一个新值,如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5}]
@="Microsoft Office Word 2003" (注意这个默认值“Microsoft Office Word 2003”,可能会有不同,而且有一定迷惑性、隐藏性,第一次我就被骗了)
由于是再次安装的工具条,所以{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5}不仅不与第一段中的键名相同,也与上次写调查篇和清除篇中的字串不同,但原理是一样的,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下创建实现桌面图标,再关联到HKEY_CLASSES_ROOT\CLSID\下实现功能,不仅如此,除了HKEY_CLASSES_ROOT\CLSID\{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5}外,我搜索这个字串{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5},还在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5}下发现与HKEY_CLASSES_ROOT\CLSID\{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5}同样的设置。
因此如果发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下新建的项后,就可以根据找到的字串,如{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5},去注册表中搜索删除。如果不清楚是哪个,还是要用其它关键字来搜索,如Internet Explorer、iexplore.exe或者新创建的IE图标菜单中的“删除”、“属性”来寻找(注意区分辨别正常值),之所以不直接搜索网址,如365j.com,因为可能网址不是明文,不易搜索到。
最后补充一下,苹果工具条在C:\Documents and Settings\Administrator\Application Data\Microsoft下会生成一个MAC的文件夹(可能你的当前用户不是Administrator,则自行修改路径),里面有一个ini文件,保存苹果工具条常用软件设置(这个不管),还有一个注册表文件macjie.key,里面保存着就是CLSID下面的字串,如上面的{D332152D-6D4B-53B6-4B7B-5D5D4421DDB5},可以据此在注册表中查找。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/470.html
